none
ADのドメインユーザの権限について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になっております。

     

    ADのユーザ権限について質問させていただきます。

    ADのユーザ権限を設定していて以下の項目でつまずいております。ネットで調べてみましたが、同様の症状で悩んでいる方はいなさそうだったのでここのフォーラムへ質問した次第です。

    以下の項目についてごきょうじゅいただけますでしょうか?

    ①remote desktop usersについて

    この、remote desktop usersの説明には、”このグループのメンバにはリモートからログオンする権利が与えられています。”となっていますが、このグループに所属させたユーザでログオンを試みてもちもーとデスクトップで接続できません。これは何が原因なのでしょうか?

    試したユーザはデフォルトで所属しているDomainUsers(プライマリグループ)とremote desktop usersに所属させた状態のものを使用して実験しました。

    プライマリグループがDmainUsersなのが原因なのでしょうか?

    ②プライマリグループについて

    ADユーザにはデフォルトでプライマリグループとしてDomainUsersがせっていされていますが、これを変更できないのでしょうか?以下のアカウントを追加した場合は変更できましたが、それ以外のアカウントにはプライマリグループを変更できないのでしょうか?

    ・DomainAdmins

    ・DomainGuests

    ・DomainControllers

    ・DomainComputers

    プライマリグループというものがどのような位置づけのものなのかもイマイチわかっておりません。追加でグループを追加されてもその権限は継承しないというものなのでしょうか?

     

    以上、ご教授いただけたら幸いです。

    2010年3月27日 18:23
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    1、ドメインのRemotedesktopUsersグループとローカルのRemotedesktopUsersグループが存在する。

    2、ドメインメンバサーバにリモートデスクトップするにはドメインのRemotedesktopUsersとローカルのRemotedesktopUsers双方に所属させる必要がある。

    片方だけではRemotedesktopUsers権限でのログインはできない。


    Remote Desktop Usersはビルトインのローカルグループであり、ドメインのRemote Desktop Usersというものは存在せず、ドメインコントロールであろうがメンバサーバーであろうが、そのコンピュータ上のグループでしかないと思います。
    メンバサーバーの場合には[コンピュータの管理]で管理されますが、ドメインコントローラの場合には[ActiveDirectoryユーザーとコンピュータ]で管理されるという違いだけだと思います。

    気づいておらず申し訳ありませんでしたが、もう一方のロックされたスレッドでも説明があるようですので、そちらも参考にされていただければと思います。

     

    ・ローカルのRemotedesktopUsersグループは、[コントロールパネル]-[ユーザアカウント]-[ユーザアカウントの管理]でユーザ毎に追加していくものをさしているのでしょうか?

    メンバサーバーではその意味になると思います。
    ただし、ドメインことローラ上では[ActiveDirectoryユーザーとコンピュータ]での管理になります。

     ・グループポリシーの設定でhoge/testを自動的に各サーバーのRemote Desktop Usersに含める設定は具体的にどのように行えばそのようなことが可能なのでしょうか?(グループポリシーのどの項目をどのように設定すれば可能となるのでしょうか。)

     
    グループポリシーで自動的に行うとすれば、各サーバーのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]の設定で可能です。

    以下のように設定すると、各サーバーのRemote Desktop Usersグループに、hoge\testを追加できます。
    ・グループ名      :hoge\test
    ・所属するグループ  :Remote Desktop Users

    以下のように設定すると、各サーバーのRemote Desktop Usersグループには、hoge\testしか存在しなくなります(それ以外にRemote Desktop Usersに存在していたメンバはグループから削除されますので注意してください)。
    ・グループ名      :Remote Desktop Users
    ・このグループのメンバ:hoge\test

    2010年3月30日 0:02
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    Windows環境においては、プライマリーグループとして指定可能なのは「グローバルグループ」か「ユニバーサルグループ」のみで「ドメインローカルグループ」は指定できませんので、プライマリーグループとして設定できないグループが「ドメインローカルグループ」でないかご確認ください。
    また、Windows環境ではプライマリーグループであっても、その他のグループであっても、ユーザーが属するユーザーグループに与えられている権利はすべて有効になりますので、プライマリーグループと以外のグループの差異はないと思います。

    Administratorsグループに属するユーザーがリモートデスクトップ接続できるのに、Remote Desktop Usersに属するユーザーがリモートデスクトップ接続できないとすれば、目的のサーバーがドメインコントローラだからではないでしょうか。
    ローカルセキュリティポリシーの、[ローカルポリシー][ユーザー権利の割り当て][ターミナルサービスを使ったログオンを許可する]がドメインコントローラの場合にはAdministratorsのみになっています。
    メンバサーバーやスタンドアロンサーバーの場合にはAdmniistratorsとRemote Desktop Usersが許可されています。
    グループポリシーでは特に設定がされていませんので、上記ローカルセキュリティポリシーがそのまま有効になっているためだと思います。

    ローカルセキュリティポリシーを変更するか、ドメインコントローラセキュリティポリシーでRemote Desktop Usersを許可することで可能に出来るとは思います。

    2010年3月28日 4:22
    |
  • Question
    サインインして投票
    0
    サインインして投票

    回答ありがとうございます。

    ご指摘いただいた状況と今の情報が若干異なります。

    まずは私の環境から。

    [私の環境]

    OS:全てのサーバがwindowsServer2008SP2(x64)

    サーバ1:ドメインコントローラ#1

    サーバ2:メンバサーバ#1

    サーバ3:メンバサーバ#2

    ドメイン:hoge.local

    ユーザ1:hoge\Administrator(Administrators&DmaimAdmins所属)

    ユーザ2:hoge\test(DomainUsers&remote desktop users所属)

    ユーザ3:hoge\test2(DomainUsers所属)

    [状況]

    ①ユーザ2でサーバ2へログイン不可。

    ⇒原因不明。いつものメッセージが出力される。DefaultDomainPolicyの[ローカルポリシー][ユーザー権利の割り当て][リモートデスクトップサービスを使ったログオンを許可]にremote desktop usersを追加しても状況変わらず。

    ②ユーザ2でサーバ1へログイン不可。

    ⇒[ローカルポリシー][ユーザー権利の割り当て][ターミナルサービスを使ったログオンを許可する]の項目がなかったのでDefaultDomainPolicyの[ローカルポリシー][ユーザー権利の割り当て][リモートデスクトップサービスを使ったログオンを許可]にremote desktop usersを追加することでログイン可能になった。

    ※gpupdate /force は忘れずに実行しています。

    以上。

    2010年3月28日 11:41
    |
  • Question
    サインインして投票
    0
    サインインして投票

    回答ありがとうございます。

    以下のような状況ですが、依然としてRD接続できません。

    ご指摘いただいた通り、ドメインコントローラに関しては以下の方法でログインすることができました。

    [ローカルポリシー][ユーザー権利の割り当て][ターミナルサービスを使ったログオンを許可する]にADministratorsとRemote Desktop Users許可することで接続可能となった。

    ですが、ドメインメンバサーバについては依然としてRemote Desktop Usersに所属するユーザは接続できません。何が原因なのでしょうか?

    新規にドメインを作成して同様のことをやってみましたが、状況は変わりません。。。。

    いつものメッセージ(このリモートコンピュータへログオンするには、ターミナルサービスでログインする・・・)が出力されます。

    2010年3月28日 16:13
    |
  • Question
    サインインして投票
    0
    サインインして投票

    一方通行の状態なので、こちらから向こうへのリンクを張っておきます。
    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/a516075b-ef62-4d54-aa56-8a11cab5d37e

    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。
    2010年3月28日 23:11
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ユーザ2はドメインコントローラのRemote Desktop Usersグループには属しているようですが、サーバ2やサーバ3のRemote Desktop Usersにも属しているでしょうか。

    サーバ2やサーバ3の[ユーザーの管理]でRemote Desktop Usersにhoge/testユーザを追加して確認してみるとどうでしょうか。

    ちなみに、上記の設定でうまくいくのであれば、グループポリシーの設定でhoge/testを自動的に各サーバーのRemote Desktop Usersに含める設定を行うことは能です。

    2010年3月28日 23:15
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご迷惑をおかけしています。

    今までの状況を整理させていただくと、以下のようになります。

     

    1、ドメインのRemotedesktopUsersグループとローカルのRemotedesktopUsersグループが存在する。

    2、ドメインメンバサーバにリモートデスクトップするにはドメインのRemotedesktopUsersとローカルのRemotedesktopUsers双方に所属させる必要がある。

    ※片方だけではRemotedesktopUsers権限でのログインはできない。

    3、ドメインコントローラの場合はDefaultDomainControlerPolicyの[ローカルポリシー][ユーザー権利の割り当て][ターミナルサービスを使ったログオンを許可する]でRemotedesktopUsersを許可することでリモートデスクトップが可能となる。

    4、グループポリシーの設定でhoge/testを自動的に各サーバーのRemote Desktop Usersに含める設定を行うことは可能。

    【追加質問】

    ・ローカルのRemotedesktopUsersグループは、[コントロールパネル]-[ユーザアカウント]-[ユーザアカウントの管理]でユーザ毎に追加していくものをさしているのでしょうか?

     ・グループポリシーの設定でhoge/testを自動的に各サーバーのRemote Desktop Usersに含める設定は具体的にどのように行えばそのようなことが可能なのでしょうか?(グループポリシーのどの項目をどのように設定すれば可能となるのでしょうか。)

     

     以上。

    2010年3月29日 22:15
    |
  • Question
    サインインして投票
    0
    サインインして投票
    1、ドメインのRemotedesktopUsersグループとローカルのRemotedesktopUsersグループが存在する。

    2、ドメインメンバサーバにリモートデスクトップするにはドメインのRemotedesktopUsersとローカルのRemotedesktopUsers双方に所属させる必要がある。

    片方だけではRemotedesktopUsers権限でのログインはできない。


    Remote Desktop Usersはビルトインのローカルグループであり、ドメインのRemote Desktop Usersというものは存在せず、ドメインコントロールであろうがメンバサーバーであろうが、そのコンピュータ上のグループでしかないと思います。
    メンバサーバーの場合には[コンピュータの管理]で管理されますが、ドメインコントローラの場合には[ActiveDirectoryユーザーとコンピュータ]で管理されるという違いだけだと思います。

    気づいておらず申し訳ありませんでしたが、もう一方のロックされたスレッドでも説明があるようですので、そちらも参考にされていただければと思います。

     

    ・ローカルのRemotedesktopUsersグループは、[コントロールパネル]-[ユーザアカウント]-[ユーザアカウントの管理]でユーザ毎に追加していくものをさしているのでしょうか?

    メンバサーバーではその意味になると思います。
    ただし、ドメインことローラ上では[ActiveDirectoryユーザーとコンピュータ]での管理になります。

     ・グループポリシーの設定でhoge/testを自動的に各サーバーのRemote Desktop Usersに含める設定は具体的にどのように行えばそのようなことが可能なのでしょうか?(グループポリシーのどの項目をどのように設定すれば可能となるのでしょうか。)

     
    グループポリシーで自動的に行うとすれば、各サーバーのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]の設定で可能です。

    以下のように設定すると、各サーバーのRemote Desktop Usersグループに、hoge\testを追加できます。
    ・グループ名      :hoge\test
    ・所属するグループ  :Remote Desktop Users

    以下のように設定すると、各サーバーのRemote Desktop Usersグループには、hoge\testしか存在しなくなります(それ以外にRemote Desktop Usersに存在していたメンバはグループから削除されますので注意してください)。
    ・グループ名      :Remote Desktop Users
    ・このグループのメンバ:hoge\test

    2010年3月30日 0:02
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

    OMEGAT さん、ご丁寧なアドバイスありがとうございます。

    Azulean さん、適切なフォローありがとうございます。

    案内いただいた内容は大変参考になる情報と思いましたので、勝手ながら [回答としてマーク] のチェックを付けさせていただきました。

    - 関連スレッド
    ADのユーザ権限について
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/a516075b-ef62-4d54-aa56-8a11cab5d37e


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年4月2日 8:16
    |
    モデレータ